云安全：云防火墙

一、云防火墙概述

1. 云防火墙是什么

云防火墙是一款云平台SaaS化的防火墙，可统一管理南北向和东西向的流量，提供流量监控、精准访问控制、实时入侵防御等功能。

云防火墙服务采用了SDN技术，提供SaaS化的防火墙方案。服务由阿里云托管提供，无需您部署任何设备。

2. 云防火墙的分类

从版本的角度，云防火墙提供免费版、按量付费版、高级版、企业版和旗舰版。

版本名称	能力说明	付费模式
免费版	云防火墙免费版提供基础的安全检查能力，可进行安全组检查、等保合规检测、资产异常情况通知服务。	当您的阿里云账号下存在可防护的云资产时，云防火墙免费版即可为您提供服务，无需购买。
按量付费版	云防火墙按量付费版支持防护公网资产，具备云上网络攻击感知概览、互联网访问控制策略配置、攻击防护、资产异常情况通知等能力，可以为公网资产提供可靠的安全防护。	按量付费模式，即先使用后付费的计费方式。
按量付费具有随时购买、随时升级、随时释放的特性，适用于业务用量变化频繁、资源使用有临时性和突发性等场景。
高级版	云防火墙高级版支持防护公网资产，具备云上网络流量分析防护、互联网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。	包年包月模式，即先付费后使用的计费方式。
相比于按量付费模式，包年包月可以提前预留资源，并且享受更低价格，适用于业务稳定、需要长期使用资源等场景。
企业版	云防火墙企业版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。
云防火墙企业版覆盖了云防火墙高级版的全部能力，同时提供跨VPC网络安全防御、安全组统一管理与可视化等增值服务。
旗舰版	云防火墙旗舰版支持防护公网资产、VPC资产和主机资产，具备云上网络流量分析防护、互联网和内网流量访问管控、网络攻击防护、日志分析、多账号统一管理、资产异常通知等能力。
云防火墙旗舰版覆盖了云防火墙企业版的全部能力，相较于企业版，旗舰版具有更强的防护能力。

从防护的范围又可分为互联网边界防火墙、VPC边界防火墙、主机边界防火墙、NAT防火墙等：

（1）互联网边界防火墙（南北向）：对出、入互联网的访问流量进行管控，拦截来自互联网的攻击和威胁，例如黑客入侵、挖矿和恶意流量等。部署在互联网和用户主机之间。

（2）VPC边界防火墙（东西向）：对VPC间的访问流量进行管控，实现VPC的分区防御。仅支持部署在高速通道联通的两个VPC网络之间，或同一个云企业网的两个VPC网络之间。需要使用企业版或旗舰版。

（3）主机边界防火墙：ECS实例之间的流量。主机防火墙底层使用了安全组的功能，安全组是由同一个地域（Region）内具有相同安全防护需求并相互信任的实例组成。需要使用企业版或旗舰版。

云防火墙防护全景图如下所示：

互联网边界、主机边界防火墙和VPC边界防火墙配合使用，可以精细化地管控数据访问行为，同时也组成了互联网边界-虚拟网络边界-主机边界三层纵深防御体系。能够满足：

（1）满足精细化的访问控制需求

云防火墙提供集中式的访问控制，也就是出方向、入方向访问控制策略，提供了应用、域名等精细化访问控制策略。
云防火墙可以统一管控所有VPC、所有区域，并提供观察模式、地址簿等优化策略配置功能，配置相对简单。

（2）满足微隔离的访问控制需求

云防火墙提供分布式的访问控制，目前底层利用的是安全组能力，同时提供所有内部流量的可视能力，以优化内对内策略。
同时，为提供策略的观察模式、拦截访问分析、智能策略等能力。

这里需要说明一下，微隔离是什么？

要理解微隔离，需要先了解零信任。

零信任是新一代网络安全架构，主张所有资产都必须先经过身份验证和授权，然后才能与另一资产通信。

零信任的实现方式：软件定义边界（Software Defined Perimeter，SDP）技术用于实现南北向流量安全。微隔离技术用于实现东西向流量安全。

微隔离技术的实现方式有：

（1）基于agent客户端：在VM上安装agent，通过Agent调用VM内核自定义防火墙来做VM间的访问控制。

（2）基于云原生能力：使用虚拟化设备自身的防火墙功能来做访问控制。

（3）基于第三方防火墙：利用现有的防火墙做访问控制。

二、安全产品组合使用

同时使用云防火墙、CDN，云防火墙具体防护什么？

与内容分发网络CDN（Content Delivery Network）同时使用时，云防火墙防护的是CDN的源站IP。

注：假定一台服务器的IP地址为10.0.1.2，部署了Web服务。使用CDN进行加速，CDN的服务器IP地址为192.168.10.20。此时，云防火墙防护的是10.0.1.2？

10.0.1.2是Web服务器的IP地址，而CDN的源站IP是192.168.10.20。云防火墙防护的是CDN的源站IP192.168.10.20。当用户访问该网站时，CDN会将用户请求转发到源站IP上，源站IP会处理用户请求并返回相应的数据。

2. 同时使用DDoS、WAF、云防火墙、SLB、ALB、ECS时，业务流量如何走向？

同时使用了DDoS、CNAME WAF、云防火墙、SLB、ECS，则业务的流量走向为：DDoS->CNAME WAF->云防火墙->SLB->ECS
同时使用了DDoS、透明WAF、云防火墙、ALB、ECS，则业务的流量走向为：DDoS->云防火墙->透明WAF->ALB->ECS

注：

CNAME WAF是指将域名解析到WAF服务商指定的域名，然后在WAF服务商处配置CNAME解析记录，使得用户访问该域名时，会被重定向到WAF服务商的服务器上，从而实现对网站的防护。CNAME WAF的优点是简单易用，只需要在域名解析中配置CNAME解析记录即可，不需要在服务器上安装软件，对于没有服务器管理经验的用户来说比较友好。缺点是需要额外的域名和解析记录，可能会影响网站的SEO排名。

透明WAF是指将WAF部署在服务器前端，通过修改服务器的配置文件，使得用户访问该服务器时，会被重定向到WAF服务器上，从而实现对网站的防护。透明WAF的优点是可以对网站的所有流量进行防护，可以更好地保护网站的安全。缺点是需要在服务器上安装软件，对于没有服务器管理经验的用户来说比较复杂，可能会影响网站的性能。

参考资料

阿里云官网https://help.aliyun.com/zh/cloud-firewall/product-overview/pre-sales-faq#section-fgw-snw-tgb

原文始发于微信公众号（码农与软件时代）：云安全：云防火墙

文章由极客之音整理，本文链接：https://www.bmabk.com/index.php/post/176057.html

云安全：云防火墙

相关推荐

发表回复